Security Command Center 提供三種服務級別:Standard、Premium 和 Enterprise。每個層級都決定了您在 Security Command Center 中可用的功能和服務。以下是各服務層級的簡短說明:
- Standard:僅適用於 Google Cloud 的基本安全防護措施管理。您可以在專案或機構層級啟用「標準」層級。最適合Google Cloud 安全性需求較低的環境。
- 進階。包含 Standard 方案的所有功能,外加 Google Cloud 專屬的安全防護機制管理、攻擊路徑分析、威脅偵測和法規遵循監控功能。您可以在專案或機構層級啟用 Premium 方案。適合需要即付即用計費方式的客戶。Google Cloud
- Enterprise。完整的多雲端 CNAPP 安全防護,協助您分類及修復最重大的問題。包含 Premium 方案的大部分服務。Enterprise 級別只能在機構層級啟用。最適合用來保護 Google Cloud、AWS 和 Azure。
標準級別不需額外付費,進階級別和企業級別則有不同的定價結構。詳情請參閱 Security Command Center 定價。
如要查看各層級包含的服務清單,請參閱服務層級比較。
如要瞭解 Security Command Center Enterprise 級別支援的 Google SecOps 功能,請參閱「Security Command Center Enterprise 中的 Google Security Operations 限制」。
| 服務 | 服務級別 | ||
|---|---|---|---|
| 標準 | 進階 | Enterprise | |
| 安全漏洞偵測 | |||
| Security Health Analytics | |||
| 受管理的安全漏洞評估掃描,可自動偵測資產是否有最高嚴重性等級的安全漏洞和錯誤設定。 Google Cloud Google Cloud | |||
| 法規遵循情形監控功能。 安全性狀態分析偵測器會對應至常見安全基準的控管措施,例如 NIST、HIPAA、PCI-DSS 和 CIS。 | |||
| 自訂模組支援。 建立自己的自訂 Security Health Analytics 偵測工具。 | |||
| Web Security Scanner | |||
| 自訂掃描。 針對已部署的 Compute Engine、Google Kubernetes Engine 或 App Engine 網頁應用程式 (具備公開網址和 IP 位址,且不受防火牆保護),排定及執行自訂掃描。 | |||
| 其他 OWASP 前十大偵測工具 | |||
| 受管理掃描。 每週掃描公開網路端點,找出安全漏洞,掃描作業由 Security Command Center 設定及管理。 | |||
| 虛擬紅隊演練 | |||
| 執行攻擊路徑模擬的虛擬紅隊演練,可找出潛在攻擊者在存取高價值資源時可能採取的路徑,協助您判斷安全漏洞和設定錯誤發現項目的優先順序。 | 1 | ||
| Mandiant CVE 評估 | |||
| CVE 評估會依據可利用性和潛在影響分組。您可以依 CVE ID 查詢發現項目。 | |||
| 其他安全漏洞服務 | |||
| 異常偵測。2 識別專案和虛擬機器 (VM) 執行個體的安全性異常狀況,例如憑證可能遭到外洩或出現加密貨幣挖礦行為。 | 1 | 1 | |
| 容器映像檔安全漏洞發現項目。 從 Artifact Registry 掃描作業中,自動將發現項目寫入 Security Command Center,偵測部署至特定資產的易受攻擊容器映像檔。 | |||
| GKE 安全防護機制資訊主頁的發現項目 (預覽版)。 查看 Kubernetes 工作負載安全防護錯誤設定的發現項目、可採取行動的安全公告,以及容器作業系統或語言套件中的安全漏洞。 | |||
| Model Armor。 篩選 LLM 提示詞和回覆,找出安全風險。 | |||
| Sensitive Data Protection 探索功能。2 探索、分類及保護機密資料。 | 3 | 3 | |
| 瓶頸。 識別多條攻擊路徑匯聚的資源或資源群組。 | |||
| Notebook Security Scanner (預先發布版)。 偵測並解決 Colab Enterprise 筆記本中使用的 Python 套件安全漏洞。 | |||
| 有害組合。 偵測風險群組,當這些風險以特定模式同時發生時,就會形成通往一或多個高價值資源的路徑,而有心人士可能會利用這些路徑存取及入侵資源。 | |||
| VM 管理員安全漏洞報告 (預先發布版)。2 如果您啟用 VM 管理員,這項服務會自動透過安全漏洞報告將發現項目寫入 Security Command Center。 | 1 | ||
| 「 Google Cloud」的安全性弱點評估 (預覽版)。 協助您在 Compute Engine VM 執行個體中找出重大和高度嚴重性的軟體安全漏洞,不必安裝代理程式。 | |||
| Mandiant Attack Surface Management。 探索及分析環境中的網際網路資產,同時持續監控外部生態系統,檢查是否有可能遭人利用的漏洞。 | 4 | ||
| AWS 安全漏洞評估。 偵測 AWS 資源中的安全漏洞,包括安裝在 Amazon EC2 執行個體和 Elastic Container Registry (ECR) 映像檔中的軟體。 | |||
| 威脅偵測與回應 | |||
| Google Cloud Armor。2 防範分散式阻斷服務 (DDoS) 攻擊、跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等威脅,保護部署項目。 Google Cloud | 1 | 1 | |
| 敏感動作服務。 偵測在貴機構、資料夾和專案中執行的動作,如果這些動作是由惡意行為者執行,可能會對貴商家造成損害。 Google Cloud | |||
| Agent Engine 威脅偵測 (預覽版)。 偵測透過 Vertex AI Agent Engine 部署及管理的代理在執行階段發生的攻擊。 | |||
| Cloud Run Threat Detection。 偵測 Cloud Run 容器中的執行階段攻擊。 | |||
| Container Threat Detection。 偵測 Container-Optimized OS 節點映像檔中的執行階段攻擊。 | |||
| 相關威脅 (預先發布版)。 協助您根據更充分的資訊做出安全性事件決策。這項功能會使用安全圖表將相關威脅發現項目合併,協助您排定現有威脅的優先順序並採取因應措施。 | |||
| Event Threat Detection。 監控 Cloud Logging 和 Google Workspace,運用威脅情報、機器學習和其他進階方法,偵測惡意軟體、加密貨幣挖礦和資料竊取等威脅。 | |||
| 圖表搜尋 (預先發布版)。 查詢安全圖表,找出您要在環境中監控的潛在安全漏洞。 | 1 | ||
| 問題。 找出 Security Command Center 在雲端環境中發現最重要的安全性風險。系統會使用虛擬紅隊演練和以規則為準的偵測功能 (後者依賴 Security Command Center 安全性圖表),找出問題。 | 1 | ||
| Virtual Machine Threat Detection。 偵測在 VM 執行個體中執行的潛在惡意應用程式。 | |||
Google SecOps。 與 Security Command Center 整合,協助您偵測、調查及因應威脅。 Google SecOps 包含下列項目:
| |||
Mandiant Threat Defense。 Mandiant 專家會持續搜尋威脅,揭露攻擊者活動,減少對業務的影響。 Mandiant Threat Defense 預設不會啟用。如要瞭解詳情和價格,請洽詢業務代表或 Google Cloud 合作夥伴。 | |||
| 立場與政策 | |||
| 二進位授權。2 開發及部署以容器為基礎的應用程式時,請實作軟體供應鏈安全措施。監控及限制容器映像檔的部署作業。 | 1 | 1 | |
| Cyber Insurance Hub。2 分析貴機構的技術風險狀況並生成報表。 | 1 | 1 | |
| Policy Controller2 可對 Kubernetes 叢集套用並強制執行可設定的政策。 | 1 | 1 | |
Policy Intelligence。 提供相關工具,協助您瞭解及管理存取權政策,主動強化安全設定。 Policy Intelligence 會免費提供部分功能給客戶,例如基本角色建議,以及每月有限的查詢次數。 Google Cloud Security Command Center 進階版和 Enterprise 版使用者可使用進階功能。詳情請參閱「定價」。 | |||
| 法規遵循管理工具。 定義、部署、監控及稽核控管措施和架構,確保 Google Cloud 環境符合安全性與法規遵循義務。 | 1、5、6 | 6 | |
| 資料安全防護機制管理 (DSPM)。 評估、部署及稽核資料安全架構和雲端控管機制,以管理敏感資料的存取權和使用情形。 | 1 | ||
| 安全防護機制。 定義及部署安全防護機制,監控資源的安全狀態。 Google Cloud 地址姿勢偏移,以及未經授權的姿勢變更。在 Enterprise 方案中,您也可以監控 AWS 環境。 | 1 | ||
| Cloud Infrastructure Entitlement Management (CIEM)。 找出設定錯誤或獲授過多/敏感 IAM 權限的主體帳戶 (身分),以存取雲端資源。 | 7 | ||
| 資料管理 | |||
| 資料落地與加密 | |||
| 客戶自行管理的加密金鑰 (CMEK)。 使用您建立的 Cloud Key Management Service 金鑰,加密所選的 Security Command Center 資料。根據預設,Security Command Center 資料會以 Google-owned and Google-managed encryption keys加密靜態資料。 | 1 | 1 | |
| 資料落地。 這項控管機制可將 Security Command Center 發現項目、靜音規則、持續匯出作業和 BigQuery 匯出作業的儲存和處理作業,限制在 Security Command Center 支援的其中一個資料落地多區域。 | 1 | 1 | |
| 匯出發現項目 | |||
| BigQuery 匯出內容。 將 Security Command Center 的發現項目匯出至 BigQuery,您可以一次匯出大量資料,也可以啟用持續匯出功能。 | |||
| Pub/Sub 持續匯出作業 | |||
| Cloud Logging 持續匯出作業 | 1 | ||
| 其他功能 | |||
| 基礎架構即程式碼 (IaC) 驗證。 根據機構政策和安全狀態分析偵測工具進行驗證。 | 1 | ||
Privileged Access Manager。 Privileged Access Manager 可協助您控管特定主體的即時暫時性權限提升,並提供稽核記錄,追蹤誰在何時存取了哪些資源。 Security Command Center 提供下列功能: | 1 | ||
| 在 Cloud Asset Inventory 中使用 SQL 查詢資產 | |||
| 申請提高 Cloud Asset Inventory 配額 | |||
| 風險報告 (預先發布版)。 風險報告可協助您瞭解 Security Command Center 執行的攻擊路徑模擬結果。風險報告包含高階總覽、有害組合範例和相關聯的攻擊路徑。 | 1 | ||
| AI 保護 (預先發布版)。 AI Protection 可偵測威脅,並降低 AI 資產清單的風險,協助您管理 AI 工作負載的安全防護機制。 | |||
| Assured Open Source Software。 將 Google 保護及使用的套件整合至自家開發人員工作流程,即可享有 Google 為開放原始碼軟體提供的安全防護機制與服務。 | |||
| 稽核管理工具。 這項法規遵循稽核解決方案會根據多個法規遵循架構中選取的控制項,評估您的資源。Security Command Center Enterprise 使用者可免費存取 Audit Manager 的進階方案。 | |||
| 支援多雲端。 將 Security Command Center 連線至其他雲端供應商,偵測威脅、安全漏洞和錯誤設定。評估外部雲端高價值資源的受攻擊風險分數和攻擊路徑。支援的雲端服務供應商:AWS、Azure。 | |||
| Snyk 整合。 查看及管理 Snyk 發現的安全性問題。 | |||